home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #31 / NN_1992_31.iso / spool / comp / os / msdos / misc / 6761 < prev    next >
Encoding:
Text File  |  1992-12-29  |  2.4 KB  |  52 lines
  1. Newsgroups: comp.os.msdos.misc
  2. Path: sparky!uunet!zaphod.mps.ohio-state.edu!pacific.mps.ohio-state.edu!linac!att!princeton!phoenix.Princeton.EDU!bathurst
  3. From: bathurst@phoenix.Princeton.EDU (Bruce Bathurst)
  4. Subject: Re: Virus Advice needed
  5. Message-ID: <1992Dec29.230130.3527@Princeton.EDU>
  6. Originator: news@nimaster
  7. Sender: news@Princeton.EDU (USENET News System)
  8. Nntp-Posting-Host: phoenix.princeton.edu
  9. Organization: Princeton University
  10. References: <Michel_Gerber.042m@bearsden.UUCP> <1hohdhINNr3t@crcnis1.unl.edu>
  11. Date: Tue, 29 Dec 1992 23:01:30 GMT
  12. Lines: 38
  13.  
  14. In article <1hohdhINNr3t@crcnis1.unl.edu> vporguen@unlinfo.unl.edu (victor porguen) writes:
  15.  
  16. >Remember: it doesn't infect or modify files. There is only ONE 
  17. >specimen of the Stoned virus per disk or diskette, no more. But it
  18. >is a TSR, and stays in memory if you boot from an infected disk.
  19. >If so, it will infect ANY diskette you insert into the machine.
  20. >That's the only way it can enter a system: by booting or attempted 
  21. >booting from an infecte disk, either system disk or not.
  22.  
  23. Last week a friend asked me to fix a floppy--an original disk from a
  24. commercial program.  The boot record (and following sector) had
  25. unusual code, so I suspected a boot-record virus.  Because no messages
  26. were displayed on his screen, I guessed it was the Stoned virus, and
  27. checked the spot it places the correct boot record.  There was
  28. code--out of place--but different from the correct boot code and
  29. different from that in the first sector.  This was Michelangelo.  The
  30. poor floppy caught one, then the other.
  31.  
  32. An ordinary virus remover might well have carefully copied the
  33. Michelangelo over the Stoned, activating a very dangerous virus.  So
  34. while it's true that your disk can have ony one copy of the Stoned
  35. virus, watch out!--similar infecters interact.
  36.  
  37. I used the latest F-Prot to remove them both simultaneously (and
  38. installed its integrity checker).
  39.  
  40. BTW, the little program in the boot record is run not only during
  41. booting, but any time the computer needs to know what medium is in the
  42. drive.  This is why disks copy-protected with an odd format don't
  43. surprise your computer.  In principle, if you insert a floppy with a
  44. boot-record infection and type "C:\DOS>dir a:", your machine can be
  45. infected.
  46.  
  47. Bruce (Gypsy Scholar)
  48. -- 
  49. Department of Geological and Geophysical Sciences
  50. Princeton University, Princeton, NJ 08544
  51. bathurst@phoenix.princeton.edu bathurst@pucc.bitnet !princeton!phoenix!bathurst
  52.